एचटीटीपी एंडपॉइंट पर बनाए गए Google Chat ऐप्लिकेशन के लिए, इस सेक्शन में यह पुष्टि करने का तरीका बताया गया है कि आपके एंडपॉइंट पर भेजे गए अनुरोध, Chat से कैसे भेजे जाते हैं.
इंटरैक्शन इवेंट को आपके Chat ऐप्लिकेशन के एंडपॉइंट पर भेजने के लिए, Google आपकी सेवा को अनुरोध भेजता है. यह पुष्टि करने के लिए कि अनुरोध Google से आ रहा है, Chat आपके एंडपॉइंट के हर एचटीटीपीएस अनुरोध के Authorization हेडर में बियरर टोकन शामिल करता है. जैसे:
POST
Host: yourappurl.com
Authorization: Bearer AbCdEf123456
Content-Type: application/json
User-Agent: Google-Dynamite
पिछले उदाहरण में दी गई स्ट्रिंग AbCdEf123456, बेयरर ऑथराइज़ेशन टोकन है. यह Google का बनाया हुआ एक क्रिप्टोग्राफ़िक टोकन है. बेयरर टोकन का टाइप और audience फ़ील्ड की वैल्यू, इस बात पर निर्भर करती है कि Chat ऐप्लिकेशन को कॉन्फ़िगर करते समय, आपने पुष्टि करने वाली किस ऑडियंस को चुना है.
अगर आपने CloudFunctions या Cloud Run का इस्तेमाल करके Chat ऐप्लिकेशन को चालू किया है, तो Cloud IAM, टोकन की पुष्टि अपने-आप करता है. आपको बस Google Chat सेवा खाते को अनुमति वाले उपयोगकर्ता के तौर पर जोड़ना होगा. अगर आपके ऐप्लिकेशन में अपना एचटीटीपी सर्वर लागू करता है, तो ओपन सोर्स Google API क्लाइंट लाइब्रेरी का इस्तेमाल करके, बेयरर टोकन की पुष्टि की जा सकती है:
- Java: https://github.com/google/google-api-java-client
- Python: https://github.com/google/google-api-python-client
- Node.js: https://github.com/google/google-api-java-client
- .NET: https://github.com/google/google-api-dotnet-client
अगर Chat ऐप्लिकेशन के लिए टोकन की पुष्टि नहीं होती है, तो आपकी सेवा को एचटीटीपीएस रिस्पॉन्स कोड 401 (Unauthorized) की मदद से अनुरोध का जवाब देना चाहिए.
Cloud Functions या Cloud Run का इस्तेमाल करके अनुरोधों की पुष्टि करें
अगर आपके फ़ंक्शन लॉजिक को Cloud Functions या Cloud Run का इस्तेमाल करके लागू किया गया है, तो आपको
Chat ऐप्लिकेशन की
कनेक्शन सेटिंग की पुष्टि करने वाली ऑडियंस फ़ील्ड में App URL को चुनना होगा. साथ ही, यह पक्का करना होगा कि कॉन्फ़िगरेशन में
ऐप्लिकेशन का यूआरएल, Cloud Function या Cloud Run एंडपॉइंट के यूआरएल से मेल खाता हो.
इसके बाद, आपको Google Chat के सेवा खाते chat@system.gserviceaccount.com को न्योता भेजने वाले के तौर पर अनुमति देनी होगी.
Cloud Functions (1st gen) इस्तेमाल करने का तरीका नीचे बताया गया है:
कंसोल
अपने फ़ंक्शन को Google Cloud पर डिप्लॉय करने के बाद:
Google Cloud Console में, Cloud Functions पेज पर जाएं:
Cloud Functions की सूची में, पाने वाले फ़ंक्शन के आगे बने चेकबॉक्स पर क्लिक करें. (फ़ंक्शन पर क्लिक न करें.)
स्क्रीन पर सबसे ऊपर, अनुमतियां पर क्लिक करें. ऐसा करने पर, अनुमतियां पैनल खुलेगा.
प्रिंसिपल जोड़ें पर क्लिक करें.
प्रिंसिपल वाले नए फ़ील्ड में,
chat@system.gserviceaccount.comडालें.कोई भूमिका चुनें ड्रॉप-डाउन मेन्यू से, भूमिका Cloud Functions > Cloud Functions Invoker चुनें.
सेव करें पर क्लिक करें.
gcloud
gcloud functions add-iam-policy-binding कमांड का इस्तेमाल करें:
gcloud functions add-iam-policy-binding RECEIVING_FUNCTION \
--member='serviceAccount:chat@system.gserviceaccount.com' \
--role='roles/cloudfunctions.invoker'
RECEIVING_FUNCTION की जगह अपने Chat ऐप्लिकेशन का
नाम डालें.
Cloud Functions (2nd gen) या Cloud Run सेवाओं को इस्तेमाल करने का तरीका नीचे बताया गया है:
कंसोल
अपने फ़ंक्शन या सेवा को Google Cloud पर डिप्लॉय करने के बाद:
Google Cloud Console में, Cloud Run पेज पर जाएं:
Cloud Run सेवाओं की सूची में, पाने वाले फ़ंक्शन के आगे बने चेकबॉक्स पर क्लिक करें. (फ़ंक्शन पर क्लिक न करें.)
स्क्रीन पर सबसे ऊपर, अनुमतियां पर क्लिक करें. ऐसा करने पर, अनुमतियां पैनल खुलेगा.
प्रिंसिपल जोड़ें पर क्लिक करें.
प्रिंसिपल वाले नए फ़ील्ड में,
chat@system.gserviceaccount.comडालें.कोई भूमिका चुनें ड्रॉप-डाउन मेन्यू से, भूमिका Cloud Run > Cloud Run इन्वोकर चुनें.
सेव करें पर क्लिक करें.
gcloud
gcloud functions add-invoker-policy-binding कमांड का इस्तेमाल करें:
gcloud functions add-invoker-policy-binding RECEIVING_FUNCTION \
--member='serviceAccount:chat@system.gserviceaccount.com'
RECEIVING_FUNCTION की जगह अपने Chat ऐप्लिकेशन का
नाम डालें.
ऐप्लिकेशन यूआरएल आईडी टोकन की मदद से अनुरोधों की पुष्टि करें
अगर Chat ऐप्लिकेशन की कनेक्शन सेटिंग की 'पुष्टि करने के लिए ऑडियंस' फ़ील्ड, App URL पर सेट है, तो अनुरोध में मौजूद 'मोबाइल और इंटरनेट सेवा देने वाली कंपनी की अनुमति वाला टोकन', Google का साइन किया गया OpenID Connect (OIDC) आईडी टोकन है.
email फ़ील्ड को chat@system.gserviceaccount.com पर सेट किया गया है.
audience फ़ील्ड को उस यूआरएल पर सेट किया जाता है जिसे आपने Google Chat को Chat ऐप्लिकेशन पर अनुरोध भेजने के लिए कॉन्फ़िगर किया है. उदाहरण के लिए, अगर आपके Chat ऐप्लिकेशन का कॉन्फ़िगर किया गया एंडपॉइंट https://example.com/app/ है, तो आईडी टोकन में audience फ़ील्ड https://example.com/app/ होगा.
इन सैंपल में, यह पुष्टि करने का तरीका बताया गया है कि कैरियर टोकन को Google Chat ने जारी किया है या नहीं. साथ ही, Google OAuth क्लाइंट लाइब्रेरी का इस्तेमाल करके, आपके ऐप्लिकेशन को टारगेट किया गया है या नहीं.
Java
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
import com.google.api.client.googleapis.auth.oauth2.GooglePublicKeysManager;
import com.google.api.client.http.apache.ApacheHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.client.json.JsonFactory;
/** Tool for verifying JWT Tokens for Apps in Google Chat. */
public class JWTVerify {
// Bearer Tokens received by apps will always specify this issuer.
static String CHAT_ISSUER = "chat@system.gserviceaccount.com";
// Intended audience of the token, which is the URL of the app.
static String AUDIENCE = "https://example.com/app/";
// Get this value from the request's Authorization HTTPS header.
// For example, for "Authorization: Bearer AbCdEf123456" use "AbCdEf123456".
static String BEARER_TOKEN = "AbCdEf123456";
public static void main(String[] args) throws GeneralSecurityException, IOException {
JsonFactory factory = new GsonFactory();
GoogleIdTokenVerifier verifier =
new GoogleIdTokenVerifier.Builder(new ApacheHttpTransport(), factory)
.setAudience(Collections.singletonList(AUDIENCE))
.build();
GoogleIdToken idToken = GoogleIdToken.parse(factory, BEARER_TOKEN);
if (idToken == null) {
System.out.println("Token cannot be parsed");
System.exit(-1);
}
// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
if (!verifier.verify(idToken)
|| !idToken.getPayload().getEmailVerified()
|| !idToken.getPayload().getEmail().equals(CHAT_ISSUER)) {
System.out.println("Invalid token");
System.exit(-1);
}
// Token originates from Google and is targeted to a specific client.
System.out.println("The token is valid");
}
}
Python
import sys
from google.oauth2 import id_token
from google.auth.transport import requests
# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'
# Intended audience of the token, which is the URL of the app.
AUDIENCE = 'https://example.com/app/'
# Get this value from the request's Authorization HTTPS header.
# For example, for 'Authorization: Bearer AbCdEf123456' use 'AbCdEf123456'.
BEARER_TOKEN = 'AbCdEf123456'
try:
# Verify valid token, signed by CHAT_ISSUER, intended for a third party.
request = requests.Request()
token = id_token.verify_oauth2_token(BEARER_TOKEN, request, AUDIENCE)
if token['email'] != CHAT_ISSUER:
sys.exit('Invalid token')
except:
sys.exit('Invalid token')
# Token originates from Google and is targeted to a specific client.
print('The token is valid')
Node.js
import {OAuth2Client} from 'google-auth-library';
// Bearer Tokens received by apps will always specify this issuer.
const CHAT_ISSUER = 'chat@system.gserviceaccount.com';
// Intended audience of the token, which is the URL of the app.
const AUDIENCE = 'https://example.com/app/';
// Get this value from the request's Authorization HTTPS header.
// For example, for "Authorization: Bearer AbCdEf123456" use "AbCdEf123456"
const BEARER_TOKEN = 'AbCdEf123456';
const client = new OAuth2Client();
async function verify() {
// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
const ticket = await client.verifyIdToken({
idToken: BEARER_TOKEN,
audience: AUDIENCE
});
if (!ticket.getPayload().email_verified
|| ticket.getPayload().email !== CHAT_ISSUER) {
throw new Error('Invalid issuer');
}
} catch (unused) {
console.error('Invalid token');
process.exit(1);
}
// Token originates from Google and is targeted to a specific client.
console.log('The token is valid');
}
verify();
अनुरोधों का प्रोजेक्ट नंबर JWT की मदद से पुष्टि करें
अगर Chat ऐप्लिकेशन की कनेक्शन सेटिंग के ऑथेंटिकेशन ऑडियंस फ़ील्ड को Project
Number (या सेट नहीं किया गया है) पर सेट किया गया है, तो अनुरोध में कैरियर की अनुमति वाला टोकन, खुद हस्ताक्षर किया गया JSON वेब टोकन (JWT) है. इसे chat@system.gserviceaccount.com ने जारी और साइन किया है.
audience फ़ील्ड को उस Google Cloud प्रोजेक्ट नंबर पर सेट किया जाता है जिसका इस्तेमाल आपने Chat ऐप्लिकेशन बनाने के लिए किया था. उदाहरण के लिए, अगर आपके Chat ऐप्लिकेशन का Cloud प्रोजेक्ट नंबर 1234567890 है, तो JWT में audience फ़ील्ड 1234567890 होगा.
इन सैंपल में, यह पुष्टि करने का तरीका बताया गया है कि कैरियर टोकन को Google Chat ने जारी किया है या नहीं. साथ ही, Google OAuth क्लाइंट लाइब्रेरी का इस्तेमाल करके, आपके प्रोजेक्ट को टारगेट किया गया था या नहीं.
Java
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;
import com.google.api.client.googleapis.auth.oauth2.GooglePublicKeysManager;
import com.google.api.client.http.apache.ApacheHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.client.json.JsonFactory;
/** Tool for verifying JWT Tokens for Apps in Google Chat. */
public class JWTVerify {
// Bearer Tokens received by apps will always specify this issuer.
static String CHAT_ISSUER = "chat@system.gserviceaccount.com";
// Url to obtain the public certificate for the issuer.
static String PUBLIC_CERT_URL_PREFIX =
"https://www.googleapis.com/service_accounts/v1/metadata/x509/";
// Intended audience of the token, which is the project number of the app.
static String AUDIENCE = "1234567890";
// Get this value from the request's Authorization HTTPS header.
// For example, for "Authorization: Bearer AbCdEf123456" use "AbCdEf123456".
static String BEARER_TOKEN = "AbCdEf123456";
public static void main(String[] args) throws GeneralSecurityException, IOException {
JsonFactory factory = new GsonFactory();
GooglePublicKeysManager.Builder keyManagerBuilder =
new GooglePublicKeysManager.Builder(new ApacheHttpTransport(), factory);
String certUrl = PUBLIC_CERT_URL_PREFIX + CHAT_ISSUER;
keyManagerBuilder.setPublicCertsEncodedUrl(certUrl);
GoogleIdTokenVerifier.Builder verifierBuilder =
new GoogleIdTokenVerifier.Builder(keyManagerBuilder.build());
verifierBuilder.setIssuer(CHAT_ISSUER);
GoogleIdTokenVerifier verifier = verifierBuilder.build();
GoogleIdToken idToken = GoogleIdToken.parse(factory, BEARER_TOKEN);
if (idToken == null) {
System.out.println("Token cannot be parsed");
System.exit(-1);
}
// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
if (!verifier.verify(idToken)
|| !idToken.verifyAudience(Collections.singletonList(AUDIENCE))
|| !idToken.verifyIssuer(CHAT_ISSUER)) {
System.out.println("Invalid token");
System.exit(-1);
}
// Token originates from Google and is targeted to a specific client.
System.out.println("The token is valid");
}
}
Python
import sys
from google.oauth2 import id_token
from google.auth.transport import requests
# Bearer Tokens received by apps will always specify this issuer.
CHAT_ISSUER = 'chat@system.gserviceaccount.com'
# Url to obtain the public certificate for the issuer.
PUBLIC_CERT_URL_PREFIX = 'https://www.googleapis.com/service_accounts/v1/metadata/x509/'
# Intended audience of the token, which will be the project number of the app.
AUDIENCE = '1234567890'
# Get this value from the request's Authorization HTTPS header.
# For example, for 'Authorization: Bearer AbCdEf123456' use 'AbCdEf123456'.
BEARER_TOKEN = 'AbCdEf123456'
try:
# Verify valid token, signed by CHAT_ISSUER, intended for a third party.
request = requests.Request()
certs_url = PUBLIC_CERT_URL_PREFIX + CHAT_ISSUER
token = id_token.verify_token(BEARER_TOKEN, request, AUDIENCE, certs_url)
if token['iss'] != CHAT_ISSUER:
sys.exit('Invalid issuer')
except:
sys.exit('Invalid token')
# Token originates from Google and is targeted to a specific client.
print('The token is valid')
Node.js
import fetch from 'node-fetch';
import {OAuth2Client} from 'google-auth-library';
// Bearer Tokens received by apps will always specify this issuer.
const CHAT_ISSUER = 'chat@system.gserviceaccount.com';
// Url to obtain the public certificate for the issuer.
const PUBLIC_CERT_URL_PREFIX =
'https://www.googleapis.com/service_accounts/v1/metadata/x509/';
// Intended audience of the token, which is the project number of the app.
const AUDIENCE = '1234567890';
// Get this value from the request's Authorization HTTPS header.
// For example, for "Authorization: Bearer AbCdEf123456" use "AbCdEf123456"
const BEARER_TOKEN = 'AbCdEf123456';
const client = new OAuth2Client();
/** Verifies JWT Tokens for Apps in Google Chat. */
async function verify() {
// Verify valid token, signed by CHAT_ISSUER, intended for a third party.
try {
const response = await fetch(PUBLIC_CERT_URL_PREFIX + CHAT_ISSUER);
const certs = await response.json();
const ticket = await client.verifySignedJwtWithCertsAsync(
BEARER_TOKEN, certs, AUDIENCE, [CHAT_ISSUER]);
} catch (unused) {
console.error('Invalid token');
process.exit(1);
}
// Token originates from Google and is targeted to a specific client.
console.log('The token is valid');
}
verify();
मिलते-जुलते विषय
- Google Workspace में पुष्टि करने और अनुमति देने के बारे में खास जानकारी के लिए, पुष्टि करने और अनुमति देने के बारे में जानें देखें.
- Chat में पुष्टि करने और अनुमति देने के बारे में खास जानकारी के लिए, पुष्टि करने की खास जानकारी देखें.
- उपयोगकर्ता के क्रेडेंशियल या सेवा खाते की मदद से, पुष्टि करने और अनुमति देने की सुविधा सेट अप करें.